eSIM ServicesASMO360ASMO VPN
ASMO ARMENIAASMO ARMENIA
HomeNewsAboutContactsInformation

Стандарты технологий платёжных систем

Соответствие PCI DSS 4.0 и требования безопасности

Понимание эволюции стандартов безопасности платежей и внедрение лучших практик для безопасной обработки данных карт.

Эволюция PCI DSS и переход на версию 4.0

В марте 2022 года PCI SSC выпустил PCI DSS v4.0 после трёх раундов публичных комментариев от более чем 200 компаний, учтя 6000 отзывов. Стандарт делает акцент на гибкости для удовлетворения развивающихся потребностей безопасности платёжной индустрии.

Март 2022

PCI DSS v4.0 выпущен PCI SSC

До 31 марта 2024

PCI DSS v3.2.1 остаётся активным

31 марта 2025

Полная реализация новых требований

Аутентификация и управление доступом

Многофакторная аутентификация (MFA)

Исследования показывают, что правильное внедрение MFA может предотвратить до 99,9% атак на компрометацию аккаунтов.

  • Предотвращает до 99,9% атак на компрометацию аккаунтов
  • Распространяется на весь доступ к среде данных держателей карт (CDE)
  • Больше не ограничивается только удалённым доступом
  • Требуется для всех системных компонентов
Пароли и парольные фразы

Версия 4.0 вводит более строгие требования к паролям для повышения безопасности.

v3.2.1

Минимум 7 символов

v4.0

Минимум 12 символов

v3.2.1

Смена каждые 90 дней для всех

v4.0

Смена каждые 90 дней только без MFA

Групповые и общие аккаунты

В отличие от v3.2.1, версия 4.0 разрешает групповые/общие аккаунты при определённых условиях.

Ограниченный срок доступа

Обязательный процесс утверждения

Индивидуальное отслеживание действий

Регулярные требования аудита

Подходы к оценке соответствия

Определённый подход

Традиционный метод, следующий чётко определённым требованиям

Лучше всего для: Организации, уже соответствующие текущим стандартам
Индивидуальный подход

Метод, ориентированный на достижение целей, позволяющий независимые механизмы контроля

Лучше всего для: Организации с уникальными потребностями безопасности

Требования к инфраструктуре

Надёжность ЦОД уровня Tier III и выше

Географическое разделение центров обработки

Резервные каналы связи от разных провайдеров

Минимальная пропускная способность основного канала: 1 Гбит/с

Динамические протоколы маршрутизации (BGP, OSPF)

Требования к производительности

< 2 секунд

Время ответа авторизации

1000+ TPS

Производительность

99,999%

Доступность системы

5 минут

Макс. простой в год

Требования безопасности

Шифрованная передача и хранение данных

Регулярное тестирование на проникновение

Мониторинг безопасности в реальном времени

Обязательное шифрованное резервное копирование

Практические шаги внедрения

Рекомендуемые шаги перехода для соответствия PCI DSS 4.0

1
Анализ текущего состояния

Оценка текущего уровня безопасности и пробелов

2
Выбор подхода

Выбор определённого или индивидуального подхода к оценке

3
Разработка плана

Создание детальной дорожной карты перехода

4
Обучение персонала

Обеспечение понимания новых требований сотрудниками

5
Обновление документации

Пересмотр процедур и политик

6
Тестирование контролей

Проверка новых механизмов контроля

Ключевые направления

Выбор методологии оценки

Обновление технологической инфраструктуры

Пересмотр документации и процедур

Программы обучения и повышения осведомлённости

Соответствие отраслевым стандартам
PCI DSS 4.0
EMV Certified
ISO 27001
SOC 2 Type II
GDPR Compliant